• Cynthia Jansen

Ransomware: de snelstgroeiende vorm van cybercriminaliteit

De afgelopen week is er veel berichtgeving geweest over de kwetsbaarheden die ontdekt zijn bij de software Apache Log 4j. Door het Nationaal Cyber Security Centrum is gewaarschuwd voor eventuele aanvallen die kunnen plaatsvinden bij organisaties die gebruikmaken van deze software.[1]

Er wordt gevreesd dat deze kwetsbaarheden zouden kunnen leiden tot bedreigingen met ransomware. Een recent voorbeeld waarbij ransomware een rol speelde, is de digitale aanval op Mediamarkt. De hackers eisten is dat geval ruim 50 miljoen dollar.[2] Door cybersecurity bedrijven wordt gewaarschuwd dat ransomware de snelst groeiende vorm van cybercrime is en dat de verwachting is dat het in de toekomst explosief zal toenemen.[3] In deze blog geef ik een overzicht van de juridische aspecten van ransomware.

Ransomware

Volgens Europol is ransomware het meest gebruikte type malware dat door cybercriminelen wordt gebruikt.[4] Malware (malicious software) is een verzamelnaam voor verschillende typen kwaadaardige software. Bekende voorbeelden zijn virussen, wormen, Trojaanse paarden, spyware en rootkits.


Ransomware is malware waarbij bestanden op afstand worden versleuteld. Het slachtoffer moet eerst losgeld betalen (veelal in de vorm van cryptovaluta) om weer toegang te krijgen tot deze bestanden (alhoewel dat laatste nooit zeker is). Er worden hiervoor verschillende soort malware gebruikt. In bepaalde gevallen zal het mogelijk kunnen zijn om ontgrendelde bestanden weer te ontsleutelen. Voor meer geavanceerde malware geldt dat de bestanden niet eenzijdig door het slachtoffer kunnen worden hersteld, omdat eventuele back-ups ook ontoegankelijk worden gemaakt. Het zal dan niet meer mogelijk zijn om de aangevallen bestanden terug te krijgen, tenzij er betaald wordt.


Europol signaleert dat de aanvallen met ransomware schadelijker zijn geworden en zich meer richten op grote organisaties en publieke instanties.[5] Cybercriminelen profiteren hierbij van een ‘grey infrastructure’ in bepaalde landen. Dit houdt in dat bepaalde legitieme diensten waarbij de anonimiteit van de gebruikers wordt gewaarborgd, zoals VPNs en cryptovaluta, misbruikt kunnen worden voor criminele doeleinden. De gebruikers van deze diensten zijn niet per se criminelen, maar er kan zich een dermate grote hoeveelheid criminele activiteiten voordoen met deze diensten dat er besloten kan worden tot opdoeking van een bepaalde dienst. Een recent voorbeeld hiervan is de afsluiting van DoubleVPN; dit was een VPN dienst dat in verband gebracht werd met cybercriminelen.[6]


De programmeurs achter de ransomware zijn geen individuele hackers, maar volledige professioneel werkende organisaties. Vaak wordt de ransomware gemaakt door een organisatie die deze weer verkoopt aan een andere (criminele) partij. Dit wordt ook wel ransomware-as-a-service (RaaS) genoemd.[7] Indien er bij een ransomware-aanval criminelen worden gepakt, zijn dit veelal de eindgebruikers (kopers) van de ransomware en niet zozeer de makers zelf. Door organisaties als Europol wordt daarom geadviseerd om bij de opsporing de aandacht te richten op de makers van de ransomware.[8]

Strafbaarstelling

Het gebruik van ransomware is in principe afpersing en daarom strafbaar onder artikel 317 lid 2 Sr. Dit artikel is wel aangepast naar de huidige tijd met de Wet computercriminaliteit II, zodat duidelijk is dat afpersing ook kan bestaan uit het ontoegankelijk maken van gegevens. Het verspreiden van ransomware is op zichzelf ook strafbaar als ‘gegevensaantasting’ onder artikel 350a Sr.[9] Met ransomware worden “gegevens ontoegankelijk gemaakt” op een geautomatiseerd werk. Het begrip ‘geautomatiseerd werk’ wordt doorgaans ruim geïnterpreteerd. In de regel zal het gaan om een computer, maar het kan ook een apparaat zijn dat slechts deel uitmaakt van een netwerk.


Er is in Nederland niet veel rechtspraak over ransomware. Dit is mogelijk te verklaren door het feit dat de pakkans van deze categorie cybercriminaliteit laag is en dat er problemen kunnen ontstaan bij de jurisdictie, aangezien deze cybercriminelen zich vaak in het buitenland bevinden. Een bekende casus van de eerste veroordeling van ransomware in Nederland was de CoinVault-zaak in 2018.[10] In dat geval kregen de Nederlandse verdachten een taakstraf en een voorwaardelijke gevangenisstraf. In 2020 is er nog een veroordeling geweest van een Informaticastudent die malware vervaardigde en verspreidde op het internet.[11]

Betalen of niet?

Er zijn alleen al in 2021 in de media meerdere voorbeelden langsgekomen van grote bedrijven of organisaties die te maken hebben gekregen met een ransomware aanval en hebben besloten te betalen.[12] Door veiligheidsexperts en vanuit de overheid wordt veelal geadviseerd om niet te betalen.[13] De reden hiervoor is dat betalen ertoe leidt dat deze vorm van cybercriminaliteit lucratiever en dus populairder wordt én dat de cybercriminelen niet stoppen na een eerste aanval. Er zijn voorbeelden bekend van slachtoffers die meerdere malen aangevallen worden door dezelfde cybercriminelen.


In Nederland is het Ministerie van Justitie en Veiligheid aan het onderzoeken of er mogelijkheden zijn om verzekeraars te verbieden om losgeld te vergoeden.[14] Momenteel wordt er bij een ransomware-aanval in sommige gevallen door de verzekeraar voor gekozen om het losgeld te betalen. Dit heeft als voordeel dat het bedrijf of organisatie weer kan draaien. Dit kan goedkoper zijn ten opzichte van het stopzetten van de werkzaamheden voor een bepaalde tijd. Volgens onderzoek van Hiscox betaalt zo’n 58% van de aangevallen bedrijven het losgeld.[15] Dit percentage kan in de praktijk mogelijk hoger liggen, omdat er bij bedrijven en publieke organisaties nog een taboe heerst om openbaar te maken dat er een aanval heeft plaatsgevonden. Dit zou kunnen leiden tot reputatieschade.


De VVD heeft in een reactie op het onderzoek van het Ministerie van Justitie en Veiligheid kamervragen gesteld.[16] De kritiek op het onderzoek om de mogelijkheden te onderzoeken op een verbod op het betalen van losgeld, is gericht tegen het feit dat een eventueel verbod kan leiden tot faillissementen van bedrijven. Het is immers niet in alle gevallen mogelijk om ontoegankelijk gemaakte bestanden uiteindelijk te ontsleutelen. Bedrijven kunnen dus mogelijk definitief belangrijke bestanden kwijtraken. De extra kosten die gemoeid zijn bij het herstel kunnen volgens het Cybersecuritybeeld Nederland 2021 mogelijk vele malen hoger zijn dan het losgeld.[17]


Er is dus tot op heden geen eenvoudige oplossing voor het groeiende probleem van ransomware. Door veiligheidsexperts wordt geadviseerd om eventuele aanvallen te voorkomen met een in-depth verdedigingssysteem. Er zijn hierover meerdere richtlijnen te vinden, o.a. door No More Ransom[18] en het Nationaal Cyber Security Centrum.[19]


[1] https://www.ncsc.nl/onderwerpen/log4j

[2] https://nos.nl/artikel/2404925-hackers-eisen-50-miljoen-dollar-van-mediamarkt

[3] https://www.einnews.com/pr_news/542950077/global-ransomware-damage-costs-to-exceed-265-billion-by-2031

[4] https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-threat-assessment-iocta-2021

[5] https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-threat-assessment-iocta-2021

[6] https://www.europol.europa.eu/media-press/newsroom/news/coordinated-action-cuts-access-to-vpn-service-used-ransomware-groups

[7] https://www.forbes.com/sites/servicenow/2021/06/09/the-destructive-rise-of-ransomware-as-a-service/?sh=193106101e16

[8] https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-threat-assessment-iocta-2021

[9] https://wetten.overheid.nl/jci1.3:c:BWBR0001854&boek=Tweede&titeldeel=XXVII&artikel=350a&z=2021-07-01&g=2021-07-01

[10] https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBROT:2018:6153

[11] https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBROT:2020:2395

[12] https://www.businessinsider.nl/ransomware-aanval-losgeld-bitcoin-revil-overzicht/

[13] https://www.nomoreransom.org/nl/about-the-project.html

[14] https://nos.nl/artikel/2398399-overheid-in-actie-tegen-betalen-van-losgeld-aan-ransomware-criminelen

[15] https://www.verzekeraars.nl/publicaties/actueel/voor-welke-cyberscenario-s-ligt-een-crisisplan-klaar

[16] https://www.rijksoverheid.nl/documenten/kamerstukken/2021/10/07/antwoorden-kamervragen-over-het-bericht-dat-het-ministerie-van-jenv-de-mogelijkheden-onderzoekt-om-verzekeraars-te-verbieden-om-losgeld-te-vergoeden-bij-slachtoffers

[17] https://www.nctv.nl/documenten/publicaties/2021/06/28/cybersecuritybeeld-nederland-2021

[18] https://www.nomoreransom.org/nl/prevention-advice.html

[19]https://www.ncsc.nl/documenten/factsheets/2020/juni/30/factsheet-ransomware